アクセスの多いWebサイトでは、脆弱性攻撃への対策として導入必須なWAF。どのようなタイプのWAFを入れるべきか、WAFを選ぶ際に意識することは何か。WAFの基礎知識から、主要なタイプの特徴と選び方、比較検討のポイント、主なサービスまでわかりやすく紹介します。
“WAF”の 一括資料ダウンロードする(無料)
WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護することに特化したセキュリティ対策です。
Webサーバーの手前(あるいはWebサーバー上)に設置され、外部(インターネット)とWebサーバー間のHTTP/HTTPS通信の内容を詳細に検査。通信データの中に、SQLインジェクションやクロスサイトスクリプティング(XSS)といった既知の攻撃パターンや、不審な挙動が含まれていないかをチェックします。悪意のある通信を検知した場合は、その通信を遮断したり、管理者に通知したりします。
Webセキュリティ対策にはWAF以外にも様々なものがあります。それぞれの役割を理解しておきましょう。
ネットワークレベルで機能し、主に送信元/宛先のIPアドレスやポート番号に基づいて、許可されていない通信をブロックします。通信の中身までは検査しないため、許可されたポート(HTTP/HTTPSの80/443番など)を通るWebアプリケーションへの攻撃は防げません。
サーバーやネットワーク全体を監視し、OSやミドルウェアへの攻撃など、様々な種類の不正アクセスや攻撃のパターン(シグネチャ)を検知・防御します。WAFほどWebアプリケーションの通信内容に特化してはいません。
Webコンテンツ(画像や動画など)を世界中のキャッシュサーバーに分散配置し、ユーザーに最も近いサーバーから配信することで表示速度を高速化する仕組みです。近年は、CDNサービスの一部として基本的なWAF機能やDDoS対策機能を提供するものも増えています。
WAFは、これらの対策ではカバーしきれない、Webアプリケーション固有の脆弱性を狙った攻撃を防ぐために不可欠な存在です。
WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“WAF”の 一括資料ダウンロードする(無料)
WAFには主に5つのタイプがあり、セキュリティ、通信性能、導入・運用のしやすさで自社に適したWAFを選ぶことになります。
クラウド型のWAFは、自社のネットワーク構成を変える必要がないため、導入しやすいタイプです。多くはDNSやSSL証明書の設定をするだけ使えるようになります。手間のかかる初期設定や検知対象の微調整などはサービス提供者側がリモートで設定することも可能なため、運用負担も抑えられます。
将来の拡張性を担保したいという場合にも向いています。最初はWebサイトの利用者が少ないのでトラフィックが少ないけれど、将来は多くなる可能性も。そうなったときでもWAFを変えることなく対応したいという場合、サービスによっては料金プランを変えるだけで、大量のトラフィックにも対応できるようになります。
トラフィックが少なく、安価に済ませたい場合は共有型を使う手もあります。共有型のクラウド型WAFの場合は他Webサイトとリソースを共有する分、安価に利用可能。ただし、アクセス数が多い場合や高速なアクセス処理を求める場合には不向きです。その場合は、占有型のクラウド型WAFを選択しましょう。
「WAFの環境構築は自社で行う」ことを前提に、価格重視で最低限のWAFを利用したい場合で、パブリッククラウドを利用しているのであれば、パブリッククラウド提供会社が提供しているWAFの利用が比較的安価です。
たとえば、AWSであれば「AWS WAF」、Azureであれば「Azure WAF」があります。これらのサービスは利用時間や通信料などによる従量課金制のため、一時的にアクセスが増える場合や、期間限定でWebサイトを運用する場合にも向いています。
導入に際して、WAFの初期設定やその後の運用負担に不安がある場合は、初期設定が行われているマネージドルールを合わせて使うのも有効です。AWS WAF向けのマネージドルールについては、「AWS WAF向けマネージドルールのおすすめは?種類別サービス8選」で詳しくご紹介しています。
専用のハードウェアにWAFを組み込んだアプライアンス型WAF は、主には自社ネットワークの中に設置して利用します。アプライアンス型WAFは、高速処理のためにハードウェアを最適化させているとともに、自社専用でリソースすべてを使えるため、安定した高速通信が必要な場合は特に向いています。
大規模サイトで高速性と安定性重視であれば、アプライアンス型WAFは有力な選択肢と言えます。
WAFのソフトウェアを自社でサーバー上に構築して運用するタイプです。インストールや運用だけでなく、セキュリティポリシーの設定やシグネチャの更新などが必要(アプライアンス型WAFも同様)になるので、一定の手間はかかります。ただし、設定の自由度の高さや、小規模であればWebサイトのWebサーバーに同居して利用することもできるため、自社運用でも問題がなければ使い勝手のよいタイプです。
これまでに紹介したWAF製品・サービスそのものではなく、既存のWAF、特にAWS WAFやCloudflare WAFなどの効果を最大限に引き出し、その運用負荷を軽減するサービスです。セキュリティ専門家が、ルールの最適化、最新の脅威への対応、誤検知のチューニング、監視、レポート作成などを代行または支援します。
Webサイトの特性や最新の攻撃トレンドに合わせて、ルールを継続的に最適化することで、防御能力を最大化。誤検知も最小限に抑えます。
多種多様なWAFの中から自社に最適なサービスを選ぶためには、機能や価格だけでなく、以下のポイントを総合的に比較検討しましょう。
まず、WAFが自社のWebサイトを狙う脅威に十分対応できるかを確認します。SQLインジェクションやXSSといった代表的な攻撃への標準対応は基本とし、OWASP Top 10で指摘される主要な脆弱性への対応状況も確認しましょう。
加えて、DDoS攻撃(アプリケーション層)や悪質なBotへの対策機能も重要です。特に注意すべきは、未知の脆弱性を突く「ゼロデイ攻撃」への対応力。従来のシグネチャ方式に加え、AI/機械学習による異常検知や仮想パッチといった対策技術の有無を確認しましょう。
また、新たな攻撃手法に対応するため、シグネチャや検知ルールが迅速かつ高品質に更新されるかも、防御力を維持する上で不可欠です。
攻撃を確実に防ぐ能力と共に、正常なアクセスを誤ってブロックしない「誤検知の少なさ」も極めて重要です。誤検知が多いとビジネスに直接的な影響を与えかねません。採用している検知エンジンの性能(複数技術の組み合わせ等)を確認し、精度を高める工夫があるかを見ましょう。
また、誤検知発生時に、原因を特定しルールを調整する「チューニング」が容易に行えるかは非常に重要です。管理画面の使いやすさや、ルールごとの除外設定、カスタムルールの作成可否など、チューニングの柔軟性を確認しましょう。
WAF導入によるWebサイトの応答速度低下は避けたい問題です。WAFの処理能力が、自社サイトのピーク時トラフィックを、余裕をもって処理できるかを確認しましょう。通信遅延も許容範囲内か、特にリアルタイム性が求められる場合は注意が必要です。アクセス増減に対応できるスケーラビリティ(クラウド型のプラン変更やオートスケール等)も確認しましょう。
可能であれば、導入前にトライアルやPoCで実際のパフォーマンス影響を評価することが望ましいです。
WAFをスムーズに導入できるか、既存システムとの連携に問題はないかも重要です。導入方式(DNS設定変更のみ、NW設定変更、インストール等)とそれに伴う作業負荷を確認します。
また、利用中のサーバー環境(OS、Webサーバーソフト、CMS等)への対応状況も確認が必要です。HTTPS(SSL/TLS)通信への適切な対応と、SSL証明書の管理方法もチェックしましょう。導入手順ドキュメントのわかりやすさや、導入時の技術サポートの有無も確認しておくと安心です。
WAFは導入後の継続的な運用が不可欠です。ルール更新、ログ監視、チューニング、障害対応といった運用作業を、どこまで自社で行い、どこからサービス提供者に任せるかを明確にします。管理画面の使いやすさ、ログの保存期間や分析機能、レポート提供の有無も確認しましょう。WAFログはインシデント対応だけでなく、傾向分析やサイト改善にも活用できます。
また、サポート体制(対応時間、方法、言語、技術レベル、緊急時対応)も重要です。特に誤検知などでビジネス影響が出た際の迅速な対応が可能かどうかは、必ず確認しましょう。自社リソースが不足する場合は、先述した「WAF運用・監視サービス」の利用も有効な選択肢です。
まずは導入や運用負担の少ないクラウド型のWAFをご紹介します。
“WAF”の 一括資料ダウンロードする(無料)
(出所:アイロバ公式Webサイト)
WAFだけでなく、Webサイトの防御に有効なDDos監視、改ざん検知、DNS監視、そしてサイバー保険もセットになったクラウドサービス。セキュリティ事業の知見を活かした検知精度の高さや過検知の抑制も強み。
料金体系は、Webサイト数やドメイン数が無制限で、使用したデータ量に応じての課金になるため、Webサイトを複数運用している企業に導入しやすい。その際、データ量は3か月平均で計算するため、一時的なアクセス急増による負担を軽減できる。同社エンジニアによる導入時や運用時のサポートも標準料金に含む。
(出所:Cloudbric WAF+公式Webサイト)
企業のWebセキュリティ確保に必須とされる、「WAFサービス」「DDoS攻撃対策サービス」「SSL証明書サービス」「脅威IP遮断サービス」「悪性Bot遮断サービス」の5つのサービスを単一のプラットフォームで統合的に利用できるクラウド型WAFサービス。114ヵ国より収集される脅威情報とエキスパート部隊の専門性が強み。
導入時と導入後運用時の2つのフェーズにおいてCloudbric Labsの国内外のセキュリティ専門家集団によるマネージド・セキュリティ・サービスを提供。専門家でなくても使いこなせる、視認性の高いダッシュボードと検知ログのメニューもポイント。過去3カ月分のサマリーレポートを自動作成できる機能を備える。エージェントやモジュールのインストール不要の簡単なプロセスで導入できる。
(出所:攻撃遮断くん公式Webサイト)
累計導入サイト数が20,000サイト以上の実績を有するクラウド型WAF。SQLインジェクション、クロスサイトスクリプティング、ブルートフォースアタックなどの主要な攻撃に対応。DNS切替え型に加えて、クラウドの監視センターへログ送信し、遮断命令を受けて攻撃を遮断するエージェント連動型もあり。
すべてのプランで電話サポートが利用可能なため、万一のときも安心。定額で複数サイトをカバーできる「Webサイト入れ放題プラン」もある。
(出所:PrimeWAF公式Webサイト)
低コストかつ、導入には専門知識が不要な、ゼロ情シス・一人情シスの中小企業も気軽に導入できるWAF。「初めてのセキュリティ対策」として多くの企業で選ばれている。月額利用料は、Webサイトへの通信量に応じて課金する従量制。もしものアクセス急増に備えて高いプランを契約しておく必要がないのが、手頃な価格の理由。
管理画面がわかりやすく、攻撃への対策が立てやすいのも魅力。提供会社のバルテス社のノウハウに基づいた初期設定が標準で利用可能で、簡単にWebサイトの防御を始められるのも中小企業にはありがたい。
(出所:SiteGuard Cloud Edition公式Webサイト)
13年以上の販売実績を持つソフトウェアメーカーが提供する純国産WAF。導入~運用までエンジニアがフルサポートするマネージド型で、サイト情報などの初期設定とDNS切り替えのみですぐに利用開始できるのが強み。管理画面もシンプルで直感的に操作できるため、専用の管理フォームから各種チューニングをエンジニアへすぐ依頼できる。
搭載された標準シグネチャで多様な攻撃の検出・防御が可能。シグネチャのカスタムや国別フィルタにも対応し、システム環境や方針に合わせてセキュリティを最適化できる。WordPressなどのCMSサイトやApache Strutsなどのミドルウェアの保護にも有効だ。
クラウド型以外にも、Webサーバー上でモジュールとして動作するホスト型、リバースプロキシとして動作するゲートウェイ型も提供。セキュリティ対策方針やインフラ構成などに合わせて、導入タイプの選択も可能だ。
(出所:Ray-SOC WAF公式Webサイト)
検知が難しい攻撃も防御できる、高性能なAIエンジンを搭載したクラウドWAFサービス。技術提携企業が、世界中のハニーポットやサイトから収集した攻撃手法を学習させて、OWASPの上位10種はもちろん、ゼロデイ攻撃や難読化攻撃、ヘッダーやボディに埋め込まれた攻撃、POSTメソッドによる攻撃にも対応。検知後はスピーディーに自動判定・遮断し、少ない処理の負荷でWebサイトのセキュリティ強化を実現する。
環境構築やチューニング、運用状況の監視、防御統計分析・レポート作成などの手間がかかる作業は、Ray-SOCセンターが担当し、導入~運用まで一連の社内負担を軽減できることもメリット。サイトやアクセス数が多い場合は、共有型でなく占有型を選べば安心だ。
(出所:Scutum公式Webサイト)
脆弱性診断サービスを手掛ける会社が開発するクラウド型WAFサービス。SQLインジェクションやクロスサイトスクリプティングなど主な攻撃手法に対応。シグネチャ形式ではなく、因果関係を分析するベイジアンネットワークと異常検知アルゴリズムをもとにした独自開発のAIによる検知精度の高さ・誤検知の少なさが強。脆弱性情報の収集に力を入れ、即座に対策できるようにしている。
ピーク時のトラフィック量に応じて料金が変わる体系。オプションで分析レポートの作成を依頼したり、DDoS対策を強化したりできる。
(出所:マネージドWAFサービス公式Webサイト)
セコムグループが提供するフルマネージド型のWAFサービス。実績ある Imperva Cloud WAF を基盤とし、セコムの専門家が導入コンサルから24時間365日の有人監視、インシデント対応、チューニング、レポート提出までを一貫して代行。運用負荷を徹底的に削減し、高レベルなセキュリティを維持したい企業向け。AWSやAzure環境にも対応。
(出所:WebARGUS Fortify公式Webサイト)
全世界で50万サイト以上の導入実績を誇るクラウドWAF。日本・韓国・中国・米国で特許取得済みのロジック型検知解析エンジンにより、誤検知率を低く抑えながら、高度なWeb攻撃を遮断できる。
従来のパターンマッチングに加え、「振る舞い解析」「構造解析」「比較解析」を行い、高精度な防御を実現。OWASPで発表された10大脆弱性すべてに対応している。標準機能としてDDoS攻撃遮断サービスを提供し、レイヤ3/4/7の幅広い攻撃をカバー。更に、追加のセキュリティ対策としてSSL証明書も無償で提供。UIもわかりやすく、すべての設定や運用管理作業をWebブラウザで直感的に操作・確認でき、外出時や出張中でもリモートアクセスで利用可能だ。
(出所:AWS WAF公式Webサイト)
AWS利用者にとっては利用しやすいWAFサービス。SQL インジェクションやクロスサイトスクリプティングなど一般的な攻撃パターンに対応。分レベルの短時間で導入可能。初期設定が予め用意されたマネージドルールを利用できるので環境構築の負荷も小さい。小規模サイトであれば月数千円程度から利用できるサービス。
対象サーバーはAWS上のサーバーに限られるため、AWSで運用しているサーバーに対してWAFを効率的に導入したい場合に向いている。
(出所:Azure WAF公式Webサイト)
Azure上でクラウドのサーバー環境を運用している場合に利用しやすいAzure向けWAFサービス。SQLインジェクションやクロスサイトスクリプティングなど主な攻撃手法に対応。あらかじめ設定されたマネージルドルールを使えば設定の負担を軽減できる。イベントログのSIEMツールとの連携にも対応。
料金体系は従量課金制でスケーリングできるので、ピーク時のトラフィックを想定することなく導入できる。
(出所:Barracuda WAF公式Webサイト)
アプライアンス型WAFだけでなく、クラウド型WAF、AzureやAWS向けのWAFも提供している。小規模サイトから大規模サイトまで5つのモデルで対応。
ブルートフォース攻撃、インジェクション攻撃などの主要な攻撃に加えて、アップロードファイルのアンチウィルスや個人情報の違法コピーを防ぐデータ盗難プロテクション機能を保有。
送信元のIPレピュテーション(送信元の信頼性の高さ)を同社独自のデータベースに蓄積しており、IPレプリケーションの程度に応じたアクセス制御が可能。
(出所:FortiWeb公式Webサイト)
ファイアウォールで世界的にシェアの高いフォーティネット社のWAF。物理、仮想、クラウド版を提供。同社の「セキュリティファブリック」構想の中核製品。高性能HWアクセラレーションにより高速処理を実現し、大規模サイトに適する。シグネチャに加え、AI/機械学習による異常検知でゼロデイ攻撃にも対応。Bot対策、APIセキュリティも強化されている。包括的な分析・レポート機能を持つ。
(出所:InfoCage SiteShell公式Webサイト)
NEC開発のソフトウェア型WAF。官公庁や金融機関等で豊富な実績。ホスト型、ネットワーク型、スニファ型から構成を選択可能。主要なWeb攻撃を高精度に検知・防御。NEC独自シグネチャに加え、サードパーティ製も利用可能。ポリシーのカスタマイズ性が高い。オプションでWebコンテンツ改ざん検知・自動復旧機能も提供。特定のプラットフォームに依存せず導入できる柔軟性がある。
既存のWAF(AWS WAFやCloudflare WAFなど)の運用を支援・代行し、その効果を最大化するサービスを紹介します。
“WAF”の 一括資料ダウンロードする(無料)
(出所:GMOサイバーセキュリティ WAFエイド公式Webサイト)
AWS WAF/Cloudflare WAFの運用を自動化・最適化するサービス。世界最高峰のセキュリティコンテスト「DEF CON」のCTF競技で優勝実績を持つ同社の知見を活かし、高品質な独自シグネチャを提供。ベンダー提供のマネージドルールだけでは防ぎきれないような未知の攻撃や、巧妙に偽装された攻撃をも捉えることができる。
ルールの自動更新機能に加え、あらかじめ定義された緊急性の高い攻撃を自動で遮断する自動遮断機能(オプション)も搭載。専門知識や分析スキルがなくても、AWS WAF/Cloudflare WAFの運用負荷を大幅に軽減しつつ、セキュリティレベルを飛躍的に向上させることが可能。セキュリティ専門家が不在、またはリソース不足の企業を強力にサポートする。
Webサイトを取り巻く脅威が高度化・多様化する中で、WAFは企業にとって不可欠なセキュリティ基盤の一つです。
最適なWAFを選ぶためには、まず自社の状況を正確に把握しましょう。守るべきWebサイトの特性、警戒すべき脅威、許容できるコスト。そして、運用体制をどうするかを明確にする必要があります。
特に「運用」は、WAFの効果を左右する重要な要素。導入しただけで安心せず、継続的なチューニングや監視が不可欠です。もし自社での運用に不安がある場合は、サポートが手厚いサービスや、「WAF運用・監視サービス」の利用を積極的に検討することをおすすめします。
また、ゼロデイ攻撃への対策を強化したい場合など、特定の要件があれば、それらに対応できる機能やサービスを選ぶ必要があります。そして、WAFが出力するログを適切に管理・分析することで、セキュリティインシデントへの対応だけでなく、将来の脅威予測やサイト改善にもつなげることが可能です。
安全で信頼性の高いWebサイト運営を実現するために、貴社にとって最適なWAFを選びましょう。
WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“WAF”の 一括資料ダウンロードする(無料)
株式会社アイロバ
クラウド型のWAF/DDoS防御/改ざん検知機能を備えた総合セキュリティサービス。Webサイトのあらゆる脅威にオールインワンのセキュリティで対応できます。...
ペンタセキュリティ株式会社
企業のWebシステムを守る一石五鳥のWebセキュリティ・プラットフォーム・サービス。社内にセキュリティ専門家がいなくても手軽に運用・導入ができます。...
EGセキュアソリューションズ株式会社
15年以上の販売実績を持つソフトウェアメーカーが提供するマネージド型純国産WAF。SiteGuardシリーズは累計導入サイト数150万サイト超、国内WAF市場シ...
株式会社レイ・イージス・ジャパン
独自開発の高度なAIエンジンを搭載し、ヘッダーやボディに埋め込まれた高度な攻撃を防御するクラウド型のWebアプリケーションファイアウォール(WAF)Ray-SO...
GMOサイバーセキュリティ byイエラエ株式会社
AWS WAFおよびCloudflare WAFに対応した、WAFの自動運用サービス。高度な検知シグネチャや自動遮断機能を備え、専門知識がなくても効果的なWAF...
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
